En términos generales, ¿cómo creen que ha evolucionado el mercado de la ciberseguridad en los últimos años?
Eduardo Mastranza (E.M.): Está creciendo, aunque no lo suficientemente rápido. Yo veo un gap en el sentido de que existe una concienciación creciente en las empresas, pero que debería ser más profunda en materia de seguridad. Tenemos estudios que dicen que la preocupación por parte de las compañías en relación con algunos riesgos de seguridad y privacidad ha crecido un 60 por ciento. Pero en el mercado de la seguridad, cuyo crecimiento debería ser similar, no se está produciendo el mismo. Es decir, este mercado está creciendo en Iberia entre un siete y un ocho por ciento al año. Claramente no es suficiente frente a esta creciente preocupación. Los presupuestos de seguridad tampoco están subiendo, ya que se encuentran al mismo nivel o ligeramente por debajo en proporción a lo que se gasta, por ejemplo, en digitalización e IT (Information Technology).
Daniel Madrid (D.M.): En 2017 se produjo un pico de concienciación y de impulso a la Industria por parte de las organizaciones gracias a incidentes como WannaCry. Creo que estamos perdiendo ese empuje y nos estamos quedando un poco fuera del mindset de los directivos. Por tanto, los CISO deberían realizar un esfuerzo por mantener o recuperar la posición que han adquirido en los últimos años.
Además de WannaCry, ¿creen que ha habido otros puntos de inflexión para impulsar la concienciación en materia de ciberseguridad en las empresas?
E.M.: Según nuestros datos, lo que más ha evolucionado últimamente es la inversión en privacidad debido al Reglamento General de Protección de Datos (RGPD); pero no por motivos de concienciación, sino porque las compañías están obligadas. Es decir, el miedo a tener una multa parecía más importante al miedo a recibir un ataque.
D.M.: Estamos intentamos advertir a las organizaciones de que posiblemente no están focalizando sus esfuerzos donde hay más riesgos, y les estamos ayudando a reflexionar sobre qué recursos dedicar y hacia dónde enfocarlos.
Precisamente el RGPD acaba de cumplir un año de su entrada en vigor. ¿Cuál es su valoración al respecto? ¿Han mejorado las empresas o todavía tienen que esforzarse mucho más?
E.M.: Las organizaciones han mejorado bastante, aunque no lo suficiente. De todas maneras, sí que hemos visto que la privacidad ha sido una de las áreas donde más y más rápido ha crecido la madurez en nuestros clientes; sobre todo en Europa por la impulsión del RGPD.
Pero debe seguir creciendo más.
E.M.: Absolutamente.
D.M.: Las organizaciones se centraron, sobre todo, en la parte más visible, que es la más cercana al ciudadano y la más formalista, porque se les acaban los plazos. Pero en lo relativo a cómo se protege la información, a cómo se implementa en los sistemas y en los mecanismos de seguridad y a las directrices que persigue el RGPD, todavía queda mucho por hacer, como por ejemplo mejorar las capacidades de detección de incidentes, de notificación, el privacy by design… Hay muchas cosas que, como son menos visibles para el ciudadano, se han pospuesto, y ahí aún queda mucho trabajo por hacer. Futuros incidentes de seguridad podrían demostrar que no se ha hecho lo suficiente en esos ámbitos.
¿Cuál creen que debe ser la posición del CISO en el organigrama de las organizaciones?
E.M.: Es complicado. Uno de los ponentes de la Jornada Internacional de la Seguridad de la Información precisamente decía que el 78 por ciento de los CISO querían reportar al CEO. Esto cuadra bastante con nuestros números. Los CISO están saliendo cada vez más de la organización de IT, que es algo positivo, aunque lo hacen demasiado despacio debido a la importancia de su papel dentro de las empresas.
Obviamente, el CISO tiene que tener su propio presupuesto y su propia línea directa con el CEO, y no puede subordinar sus prioridades a las de IT. Esta es una de las causas por las que ocurren incidentes en las empresas.
Además, el CISO debe aprender que no es una línea de defensa; no es el controlador de todo lo que ocurre en la compañía. Con los tiempos actuales, su postura debe ser más de un habilitador de todo lo que la organización quiere realizar, especialmente en sus agendas digitales. La agenda digital es un coche que el CISO tiene que conducir para que su papel dentro de la empresa evolucione de una forma correcta.
D.M.: El CISO tiene que convertirse en un facilitador a la hora de tomar riesgos, ya que la transformación implica que los haya; pero esta figura tiene que ser la que ayude a equilibrar cuánto riesgo es asumible por parte de la organización para no ser un freno a la transformación.
¿A qué peligros se enfrentan los CISO que no tomen riesgos?
E.M.: El CISO que no tome riesgos está acabado. Nosotros no estamos comprendiendo –algo que los CISO sí– que no existe una protección perfecta, que no existe el riesgo cero. El riesgo es parte del negocio y, efectivamente, quien mejor los manejan son los institutos financieros, concretamente de una forma positiva y no necesariamente negativa.
D.M.: El CISO que no ayude a tomar riesgos acabará arrinconado dentro de la organización y no estará en las mesas en las que se toman las decisiones.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de esta entrevista.
¿Quieres leer la entrevista completa?